Schlagwort-Archive: beA

RAK Berlin – Kein Vertrauen in Atos und die BRAK

In einem Rundschreiben wendet sich heute der Präsident der Berliner Rechtsanwaltskammer (RAK Berlin), Dr. Marcus Mollnau, an die Kollegen.

Wenn man Herrn Rechtsanwalt Dr. Mollnau kennt und weiß, wie höflich, distinguiert und diplomatisch er sich üblicherweise sonst ausdrückt, spürt den heiligen Zorn, den er – provoziert von den Funktionären der BRAK – nun in sich trägt, spätestens in diesen Worten:

Sehr geehrte Kolleginnen und Kollegen,

die Bundesrechtsanwaltskammer (BRAK) empfiehlt allen Rechtsanwältinnen und Rechtsanwälten, die für die bisherige beA-Nutzung erforderliche Client Security zu deinstallieren bzw. zu deaktivieren. Diese Empfehlung ist in einer Pressemitteilung enthalten, die die BRAK über den Verlauf des beAthon in den Abendstunden des 26.01.2018 veröffentlicht hat.

Es heißt dazu in dieser Pressemitteilung: „Die Deaktivierung der beA Client Security kann auf zwei Wegen geschehen: Entweder durch Deinstallation oder durch Schließen der Client Security auf dem Rechner und das anschließende Entfernen der Client Security aus dem Autostart des Rechners.

Der Rechtsanwaltskammer Berlin liegen über diese Presseerklärung hinaus leider keine weiteren Informationen oder Mitteilungen der BRAK vor. In der Presseerklärung der BRAK wird jedoch davon gesprochen, dass die bisher installierte Client Security „eine Lücke für einen externen Angriff darstellen“ kann. Deshalb empfiehlt die RAK Berlin dringend, die Deinstallation durchzuführen.

Nachdem die von der BRAK für die Einrichtung und den Betrieb des beA beauftragte Dienstleisterin, die Atos GmbH, ihre Teilnahme an dem beAthon der BRAK kurzfristig abgesagt hatte, veröffentlichte Atos erstmals eine eigene Erklärung (pdf). Darin heißt es, dass mit einer der BRAK zur Verfügung gestellten neuen Version der beA-Client-Anwendung die „potentielle Sicherheitslücke in der beA Browser-Anwendung geschlossen“ sei. „Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig“, so Atos weiter. Die Teilnehmer des beAthon haben diese von der Atos GmbH angebotene Lösung diskutiert.

Die RAK Berlin vertraut nicht allein auf Erklärungen der Atos GmbH oder der BRAK. Der Vorstand der RAK Berlin hat deshalb einstimmig beschlossen, dass eine Wiederinbetriebnahme des beA erst erfolgen darf, wenn durch externe Sachverständige nach vollständigen Prüfungen (White-Box-Tests) die Sicherheit des gesamten Systems und die absolute Vertraulichkeit der über das System zu versendenden Nachrichten gewährleistet und nachgewiesen sind. Diese Forderung wird die RAK Berlin in die Entscheidungsprozesse der Hauptversammlung der BRAK einbringen.

Ich pflichte dem weit hörbaren Schlag des Präsidenten der RAK Berlin mit der Faust auf dem Tisch bei. Es erscheint mir als eine Unverschämtheit der BRAK, unsere Kammer allein über Pressemitteilungen zu informieren; die Altvorderen der BRAK dürfen sich nicht wundern, wenn damit jedes Vertrauen in deren Zuverlässigkeit bis zum St. Nimmerleinstag perdu sein wird.

Und solange nicht hundertprozentig feststeht, daß unsere Schreiben nicht vor dem Zugriff Dritter geschützt sind, und die Software auch funktioniert, kommt mir das nicht nur vollkommen unhandliche, d.h. bislang praxisuntaugliche Zeug von Atos nicht ins Haus. Basta!

Fettdruck von mir. crh
__
Bild: Screen Shot von der Website der BRAK

, , 11 Kommentare

Atos: Createur de malheur

Atos hatte sich nach langer Zeit des öffentlichen Schweigens entschlossen, etwas zu dem beA-Chaos zu sagen.

Gestern Vormittag trudelte hier die „Stellungnahme zum besonderen elektronischen Anwaltspostfach (beA)“ ein, per eMail an unsere Kanzlei-Adresse. Ich bin davon aus gegangen, nur einer der 165.000 Anwälte zu sein, die auf der unterdrückten Recipient List stand.

Da habe ich mich aber getäuscht, wie der Kollege André Feske seinem Kommentar zu der Atos-Stellungnahme heute Morgen schrieb:

Chapeau!
Dass der Createur de malheur an CRH persönlich schreibt, das ist echter Kundendienst!

Der lumpige Rest des Anwaltsvolks muss sich mit Sekundärberichterstattung – den Pressemitteilungen der BRAK – zufrieden geben, oder GOLEM lesen.
Auch ich möchte in Zukunft direkt informiert werden.

Darum ein Herzenswunsch:
Lieber Carsten, verrätst Du den 164.999 davon noch ungeküssten Berufskollegen bitte, wie man selbst auf den Verteiler von ATOS kommt, um in Zukunft brühwarm, direkt und persönlich über die neusten Errungenschaften dieses Elktroschrotthändlers informiert zu werden?

Lieber André, ich weiß es nicht. Vielleicht sind ja ein paar meiner Mandanten, die ich irgendwann mal mit mäßigem Erfolg in einem Cyber-Crime-Verfahren verteidigt habe, unter Bewährungsauflagen (z.B. um bei Atos zu programmieren) vorzeitig aus der Haft entlassen worden, und haben sich bei mir revanchieren wollen? Es könnten also Leute sein, die sich schon beim Begehen von Straftaten dusselig angestellt haben und dabei erwischt wurden.

Für die Nichtwissenden: Rechtsanwalt André Feske ist nicht irgendein dahergelaufener Berliner Anwalt so wie ich, sondern er gehört zum Vorstand der Berliner Rechtsanwaltskammer und versorgte (bisher jedenfalls) die Kollegen und deren Kanzleien mit dem notwendigen know how, das für die Installation und Benutzung des beA notwendig war.

Tja, wo der Wurm einmal drin is, isser drin.

__
Bild: Screen Shot von der Seite Atos Deutschland

, , 6 Kommentare

Atos: Stellungnahme zum besonderen elektronischen Anwaltspostfach (beA)

Soeben erreichte mich eine eMail der Atos Presse:

Ich gebe sie mal zum Abschuß frei nachfolgend vollständig wieder:

München, 26. Januar 2018 – Atos, ein führender Anbieter für die digitale Transformation, ist von der Bundesrechtsanwaltskammer (BRAK) mit der Entwicklung, der Implementierung und dem Betrieb des „besonderen elektronischen Anwaltspostfachs (beA)“ beauftragt worden. Die Lösung besteht aus einer zentralen Anwendung, die sich in deutschen Atos-Rechenzentren befindet, einer Browserbasierten Web-Anwendung und einer lokal installierten Client-Anwendung. Darüber hinaus gibt es Schnittstellen zu den entsprechenden Systemen der Justiz, der Rechtsanwaltskammern sowie Kanzleisoftware-Anwendungen. Der Vertragsbeginn war Oktober 2014. Seit Projektbeginn Ende 2014 wurden in mehreren Zwischenschritten Entwicklungsstufen der Lösung eingeführt und Elemente weiterentwickelt. Die Umsetzung des beA erfolgte gemäß konzeptioneller Vorgabe der BRAK und berücksichtigte jeweils gültige gesetzliche Vorgaben. Am 28. November 2016 hat die BRAK als Auftraggeber die Lösung den Rechtsanwälten zur Verfügung gestellt.

Am 21. Dezember 2017 wurde durch externe IT-Experten eine Sicherheitslücke bei der sicheren Kommunikation zwischen Browser und Client-Anwendung festgestellt. Ein Zertifikat war zusammen mit dem zugehörigen privaten Schlüssel Bestandteil der installierten Client-Anwendung und wurde damit öffentlich gemacht. Hierdurch war die Sicherheit des Zertifikates nicht mehr gewährleistet und es wurde durch den Anbieter gesperrt. Es handelte sich allein um ein Problem in der Kommunikation des lokalen Browsers mit der Client-Anwendung auf dem Client des Anwalts – die Sicherheit der zentralen Anwendung in den Rechenzentren sowie der Schnittstelle zu den Kanzleisoftware-Anwendungen war hiervon nicht betroffen. Die sichere Kommunikation zwischen den beA-Postfächern war zu jedem Zeitpunkt gewährleistet.

Um sicherzustellen, dass das beA schnellstmöglich wieder verfügbar ist, hat Atos kurzfristig ein neues Zertifikat zur Verfügung gestellt. Am 22. Dezember 2017 hat Atos allerdings festgestellt, dass dieses neue Zertifikat mit zu weitreichenden Rechten ausgestattet war. Angreifer wären mit diesem Zertifikat in der Lage gewesen, Identitäten zu fälschen (Man-in-the-middle Attacken). Atos informierte den Kunden BRAK umgehend. Am gleichen Tag hat die BRAK das beA offline genommen.

Mittlerweile hat Atos dem Kunden BRAK eine neue Version der beA Client-Anwendung zur Verfügung gestellt. Diese Version ist wie folgt überarbeitet:

Die Client-Anwendung erstellt bei der Installation ein individuelles, lokales Zertifikat auf dem Rechner des Anwalts, welches die sichere Kommunikation zwischen Client-Anwendung und Browser ermöglicht. Dieses Zertifikat ist nur in der lokalen Installation bekannt und mit eingeschränkten Rechten ausgestattet. Hierdurch wird der Schutz gegen den missbräuchlichen Einsatz des Zertifikats massiv erhöht. Die Funktionstüchtigkeit und die Sicherheit der Lösung soll durch ein von Atos beauftragtes externes Security-Gutachten bestätigt werden.

Aus Sicht von Atos war mit der Bereitstellung der neuen Lösung die potenzielle Sicherheitslücke in der beA Browser-Anwendung geschlossen. Die Entscheidung über die erneute Inbetriebnahme des Systems liegt bei der BRAK. Die Rechte an dem Quellcode liegen ebenfalls bei der BRAK beziehungsweise bei den Herstellern der genutzten Standardsoftware-Komponenten.
Die identifizierten Sicherheitsprobleme betrafen ausschließlich die lokale Kommunikation zwischen dem Browser und der Client-Anwendung – weder die zentralen Anwendungen noch die Schnittstelle zu Fachanwendungen waren hiervon direkt betroffen.

Die Sicherheit und Integrität sind wiederhergestellt und das System ist in der aktuell vorliegenden Ausbaustufe voll einsatzfähig.

Über Atos
Atos ist ein weltweit führender Anbieter für die digitale Transformation mit circa 100.000 Mitarbeitern in 72 Ländern und einem Jahresumsatz von rund 12 Milliarden Euro. Als europäischer Marktführer für Big Data, Cybersecurity, High Performance Computing und Digital Workplace unterstützt Atos Unternehmen mit Cloud Services, Infrastruktur- und Datenmanagement sowie Business- und Plattform-Lösungen. Hinzu kommen Services der Tochtergesellschaft Worldline, dem europäischen Marktführer für Zahlungsverkehrs- und Transaktionsdienste. Mit innovativen Technologien, umfassender digitaler Kompetenz und tiefgreifendem Branchenwissen begleitet Atos die digitale Transformation von Kunden aus unterschiedlichen Marktsegmenten: Banken, Bildung, Chemie, Energie und Versorgung, Gesundheit, Handel, Medien und Verlage, Öffentlicher Sektor, Produktion, Telekommunikation, Transport und Logistik, Versicherungen und Verteidigung.
Der Konzern ist der weltweite IT-Partner der Olympischen und Paralympischen Spiele. Atos firmiert unter den Marken Atos, Atos Consulting, Atos Worldgrid, Bull, Canopy, Unify und Worldline. Atos SE (Societas Europaea) ist an der Pariser Börse als eine der 40 führenden französischen Aktiengesellschaften (CAC40) notiert.

www.atos.net

Na denn. Dann ist ja alles wieder gut.

, , 24 Kommentare